Nuestro compromiso con la Gestión Responsable de la Inteligencia Artificial
(UNE-ISO/IEC 42001:2025)

Última actualización: 6 de diciembre de 2025

1. Introducción

En Pymes.ai, hemos asumido un compromiso firme con la excelencia en la gestión de sistemas de Inteligencia Artificial. La norma UNE-ISO/IEC 42001:2025, publicada en su versión en español en abril de 2025, constituye el primer estándar internacional certificable para Sistemas de Gestión de Inteligencia Artificial (SGIA). Este marco normativo establece los requisitos fundamentales para garantizar que el desarrollo, despliegue y utilización de sistemas de IA se realicen de manera responsable, ética, transparente y segura.

La presente página detalla nuestro compromiso con la implementación integral de los principios y requisitos establecidos en la norma UNE-ISO/IEC 42001:2025, evidenciando nuestra dedicación al desarrollo de una inteligencia artificial centrada en el ser humano, que respete los derechos fundamentales y genere valor sostenible para todas nuestras partes interesadas.

2. La norma UNE-ISO/IEC 42001:2025

La norma UNE-ISO/IEC 42001:2025 representa un hito en la estandarización de la gestión de la inteligencia artificial. Desarrollada conjuntamente por ISO e IEC, esta norma proporciona un marco estructurado y sistemático que permite a las organizaciones gestionar de manera efectiva los riesgos y oportunidades asociados con la IA, abordando aspectos críticos como:

• Establecimiento de políticas y gobernanza para sistemas de IA
• Gestión integral del ciclo de vida de sistemas de IA
• Evaluación y tratamiento de riesgos específicos de la inteligencia artificial
• Gestión de datos para sistemas de IA, incluyendo calidad, procedencia y preparación
• Transparencia, explicabilidad y rendición de cuentas
• Protección de datos personales y privacidad
• Seguridad, ciberseguridad y robustez de sistemas de IA
• Consideraciones éticas, equidad y prevención de sesgos
• Impacto en partes interesadas, derechos fundamentales y medio ambiente
• Mejora continua mediante el ciclo Planificar-Hacer-Verificar-Actuar

Como norma de sistemas de gestión, la UNE-ISO/IEC 42001 adopta la estructura de alto nivel de ISO, lo que facilita su integración con otros estándares internacionales como ISO 9001, ISO/IEC 27001 e ISO 20000-1. Esta norma es aplicable a cualquier organización, independientemente de su tamaño, tipo o sector, que desarrolle, provea o utilice productos o servicios basados en inteligencia artificial.

3. Nuestro Compromiso con el Desarrollo Responsable de IA

En Pymes.ai reconocemos que la inteligencia artificial representa una tecnología transformadora con capacidad para generar valor significativo, pero también para ocasionar impactos adversos si no se gestiona adecuadamente. Por esta razón, nos comprometemos a:

• Desarrollar sistemas de IA centrados en el ser humano, diseñados para respetar la dignidad, autonomía y derechos fundamentales de las personas, considerando el impacto potencial en individuos, grupos y la sociedad en general.
• Implementar un Sistema de Gestión de IA robusto que establezca políticas, procesos, controles y procedimientos documentados para garantizar la gestión efectiva de riesgos y oportunidades asociados con la inteligencia artificial.
• Mantener la máxima transparencia respecto al uso de sistemas de IA en nuestros servicios, explicando de manera clara y accesible cuándo, cómo y con qué propósito se utilizan tecnologías de inteligencia artificial.
• Gestionar proactivamente los riesgos de IA mediante evaluaciones sistemáticas que identifiquen, analicen, evalúen y traten los riesgos técnicos, éticos, legales y sociales asociados con nuestros sistemas de IA.
• Promover la capacitación continua de nuestro equipo en gestión responsable de IA, fomentando la alfabetización en inteligencia artificial y el desarrollo de competencias técnicas y éticas necesarias para su implementación efectiva.
• Asegurar el cumplimiento normativo con el Reglamento (UE) 2024/1689 de Inteligencia Artificial, el Reglamento General de Protección de Datos y demás normativa aplicable en materia de protección de datos, derechos fundamentales y tecnologías emergentes.

4. Principios Fundamentales del Sistema de Gestión de IA

Nuestro Sistema de Gestión de Inteligencia Artificial se fundamenta en los siguientes principios, alineados con las directrices éticas internacionales y la normativa europea:

• IA centrada en el ser humano: Los sistemas de inteligencia artificial deben desarrollarse y utilizarse con el objetivo primordial de beneficiar a las personas, respetando su dignidad, autonomía y derechos fundamentales, incluidos los consagrados en la Carta de los Derechos Fundamentales de la Unión Europea.
• Equidad y no discriminación: Los sistemas de IA deben diseñarse, desarrollarse y utilizarse de manera justa, evitando la creación, perpetuación o amplificación de sesgos discriminatorios por motivos de raza, origen étnico, sexo, orientación sexual, edad, discapacidad, religión o cualquier otra condición protegida.
• Transparencia y explicabilidad: Los procesos de toma de decisiones de sistemas de IA deben ser comprensibles y las decisiones deben poder explicarse de manera clara y accesible para las partes interesadas, permitiendo la comprensión del razonamiento subyacente cuando sea relevante y apropiado.
• Robustez, seguridad y ciberseguridad: Los sistemas de IA deben ser técnicamente robustos, seguros frente a amenazas y vulnerabilidades, confiables en su funcionamiento y resilientes ante fallos, adversidades o ataques maliciosos.
• Privacidad y protección de datos: El tratamiento de datos personales en sistemas de IA debe realizarse conforme a los principios de protección de datos por diseño y por defecto, respetando los derechos de los interesados y cumpliendo con el marco normativo de protección de datos aplicable.
• Responsabilidad y rendición de cuentas: Debe establecerse con claridad quién es responsable de las decisiones, acciones y resultados de los sistemas de IA, implementando mecanismos de supervisión, auditoría y rendición de cuentas apropiados.
• Sostenibilidad ambiental: El desarrollo y operación de sistemas de IA debe considerar su impacto ambiental, promoviendo la eficiencia energética y la sostenibilidad en el ciclo de vida completo de estos sistemas.

5. Gobernanza y Estructura Organizacional

La gobernanza efectiva constituye el pilar fundamental de nuestro Sistema de Gestión de Inteligencia Artificial. En Pymes.ai hemos establecido:

• Una estructura de gobernanza claramente definida con roles, responsabilidades y autoridades asignadas específicamente para la gestión de sistemas de IA, asegurando la rendición de cuentas en todos los niveles organizacionales.
• El compromiso explícito del liderazgo con la implementación, mantenimiento y mejora continua del Sistema de Gestión de IA, respaldado por la asignación de recursos adecuados y la integración de la gestión de IA en la estrategia organizacional.
• Procesos documentados de revisión por la dirección que evalúan periódicamente la efectividad del Sistema de Gestión de IA, el cumplimiento de objetivos y la adecuación a las necesidades cambiantes del contexto organizacional y normativo.
• Documentación completa y actualizada de políticas, procedimientos, procesos y registros relacionados con la gestión de sistemas de IA, asegurando la trazabilidad y facilitando las auditorías internas y externas.
• Mecanismos de comunicación interna y externa que aseguran que las partes interesadas relevantes comprendan nuestras prácticas de gestión de IA, sus derechos y las vías para plantear inquietudes o reclamaciones.

6. Gestión Integral del Ciclo de Vida de Sistemas de IA

Implementamos controles específicos para cada fase del ciclo de vida de nuestros sistemas de inteligencia artificial, conforme al Anexo A de la norma UNE-ISO/IEC 42001:

• Planificación y diseño: Definimos objetivos claros, requisitos funcionales y no funcionales, criterios de éxito y consideraciones éticas desde las etapas iniciales del desarrollo de sistemas de IA.
• Recopilación y gestión de datos: Establecemos procesos rigurosos para la obtención, documentación, preparación, limpieza, etiquetado y validación de conjuntos de datos, asegurando su calidad, representatividad, procedencia y conformidad con requisitos de protección de datos.
• Desarrollo y entrenamiento: Aplicamos metodologías de desarrollo que integran consideraciones de seguridad, privacidad, equidad y explicabilidad, documentando decisiones técnicas y evaluando el rendimiento de modelos conforme a métricas predefinidas.
• Verificación y validación: Implementamos procesos sistemáticos de pruebas, validación técnica y evaluación de conformidad con requisitos establecidos, incluyendo pruebas de seguridad, robustez, equidad y explicabilidad.
• Despliegue y operación: Establecemos controles para la puesta en producción responsable de sistemas de IA, incluyendo monitoreo continuo del desempeño, detección de degradación del modelo y gestión de cambios.
• Monitoreo y mantenimiento: Supervisamos continuamente el comportamiento de sistemas de IA en producción, identificando desviaciones, drift de datos o modelos, y realizando actualizaciones o reentrenamientos cuando sea necesario.
• Desmantelamiento: Planificamos y ejecutamos la retirada segura de sistemas de IA, gestionando apropiadamente datos, modelos y documentación, y comunicando oportunamente a las partes interesadas afectadas.

7. Evaluación y Tratamiento de Riesgos de IA

La gestión de riesgos constituye un componente fundamental de nuestro Sistema de Gestión de IA. Implementamos un proceso sistemático que incluye:

• Identificación de riesgos: Reconocemos sistemáticamente los riesgos técnicos, éticos, legales, sociales, reputacionales y operacionales asociados con el desarrollo, despliegue y uso de sistemas de IA, considerando múltiples escenarios y casos de uso potenciales, incluyendo usos indebidos previsibles.
• Análisis de riesgos: Examinamos en profundidad la naturaleza de los riesgos identificados, sus posibles causas, consecuencias y la interrelación entre diferentes riesgos, utilizando metodologías cualitativas y cuantitativas apropiadas.
• Evaluación de riesgos: Determinamos la significancia de los riesgos mediante la valoración de su probabilidad de ocurrencia e impacto potencial, priorizándolos conforme a criterios predefinidos y alineados con nuestra apetencia al riesgo organizacional.
• Tratamiento de riesgos: Desarrollamos e implementamos planes de tratamiento que pueden incluir la evitación, mitigación, transferencia o aceptación del riesgo, seleccionando controles apropiados del Anexo A de la norma y controles adicionales específicos según sea necesario.
• Evaluación de impacto en derechos fundamentales: Para sistemas de IA de alto riesgo, realizamos evaluaciones específicas del impacto potencial sobre los derechos fundamentales de las personas, conforme a los requisitos del Reglamento (UE) 2024/1689, identificando y mitigando impactos adversos.
• Monitoreo y revisión continuos: Supervisamos sistemáticamente la evolución de los riesgos identificados, la efectividad de los controles implementados y la aparición de nuevos riesgos, actualizando nuestras evaluaciones conforme evolucionan los sistemas de IA, el contexto tecnológico y el entorno regulatorio.

8. Transparencia, Explicabilidad y Comunicación

Consideramos la transparencia y explicabilidad como principios esenciales de una gestión responsable de la inteligencia artificial. Nuestras prácticas incluyen:

• Proporcionar información clara, comprensible y accesible sobre el uso de sistemas de IA en nuestros servicios, indicando cuándo los usuarios interactúan con sistemas de IA y cuándo las decisiones son tomadas o asistidas por inteligencia artificial.
• Documentar de manera exhaustiva las características técnicas, capacidades, limitaciones y condiciones de uso apropiadas de nuestros sistemas de IA, facilitando la comprensión por parte de usuarios, evaluadores y autoridades competentes.
• Explicar, cuando sea técnicamente posible, legalmente requerido y contextualmente apropiado, el razonamiento subyacente a las decisiones o recomendaciones generadas por sistemas de IA, utilizando técnicas de inteligencia artificial explicable (XAI) según corresponda.
• Mantener registros apropiados de las operaciones y decisiones de sistemas de IA de alto riesgo, conforme a los requisitos de trazabilidad establecidos en la normativa aplicable, facilitando la auditoría, supervisión y rendición de cuentas.
• Informar a las partes interesadas relevantes sobre el impacto de sistemas de IA en sus interacciones con nuestros servicios, sus derechos en relación con decisiones automatizadas y los mecanismos disponibles para solicitar revisión humana o impugnar decisiones.
• Establecer canales de comunicación efectivos para que las partes interesadas puedan plantear consultas, expresar inquietudes o reportar incidentes relacionados con el funcionamiento de sistemas de IA.

9. Privacidad, Protección de Datos y Cumplimiento Normativo

La protección de la privacidad y los datos personales constituye una prioridad fundamental en nuestra gestión de sistemas de inteligencia artificial. Implementamos las siguientes medidas:

• Cumplimiento riguroso del Reglamento (UE) 2016/679 (RGPD), garantizando que el tratamiento de datos personales en sistemas de IA se fundamente en bases jurídicas lícitas, respete los principios de protección de datos y reconozca los derechos de los interesados.
• Aplicación de los principios de minimización de datos y limitación de la finalidad, recopilando y procesando únicamente los datos personales estrictamente necesarios para los fines legítimos y específicos declarados.
• Implementación de protección de datos por diseño y por defecto en el desarrollo de sistemas de IA, integrando medidas técnicas y organizativas apropiadas desde las fases iniciales de diseño.
• Realización de evaluaciones de impacto en la protección de datos (EIPD) para sistemas de IA que impliquen tratamientos de datos de alto riesgo, identificando y mitigando riesgos para los derechos y libertades de las personas.
• Aplicación de técnicas de mejora de la privacidad cuando sea apropiado, incluyendo anonimización, seudonimización, privacidad diferencial, cifrado homomórfico y aprendizaje federado, según el contexto específico de uso.
• Garantía de los derechos de los interesados, incluyendo el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición al tratamiento automatizado, estableciendo procedimientos claros y accesibles para su ejercicio.
• Alineación con los requisitos del Reglamento (UE) 2024/1689 de Inteligencia Artificial, implementando obligaciones específicas para sistemas de IA de alto riesgo y cumpliendo con los requisitos de transparencia, documentación y supervisión humana establecidos.

Para información detallada sobre nuestras prácticas de tratamiento de datos personales, consulte nuestra Política de Privacidad.

10. Seguridad, Ciberseguridad y Robustez

La seguridad integral de nuestros sistemas de inteligencia artificial constituye una prioridad estratégica. Implementamos controles de seguridad multicapa que incluyen:

• Seguridad de datos: Aplicamos cifrado de datos en tránsito y en reposo mediante algoritmos criptográficos robustos, implementamos controles de acceso basados en roles y principios de privilegio mínimo, y establecemos medidas para prevenir accesos no autorizados, pérdida, alteración o divulgación indebida de datos.
• Seguridad de modelos: Protegemos nuestros modelos de IA contra ataques adversarios (adversarial attacks), envenenamiento de datos (data poisoning), extracción de modelos (model extraction) y otras amenazas específicas de sistemas de aprendizaje automático, implementando técnicas de robustez y validación adversaria.
• Seguridad de infraestructura: Implementamos medidas de seguridad para la infraestructura tecnológica que alberga nuestros sistemas de IA, incluyendo segmentación de redes, monitoreo de seguridad, gestión de vulnerabilidades y controles de acceso físico y lógico.
• Monitoreo y detección de amenazas: Desplegamos sistemas de monitoreo continuo que detectan anomalías, comportamientos sospechosos y potenciales incidentes de seguridad en tiempo real, utilizando técnicas de análisis de seguridad y correlación de eventos.
• Gestión de incidentes de seguridad: Disponemos de procedimientos documentados y probados para la detección, análisis, contención, erradicación y recuperación ante incidentes de seguridad relacionados con sistemas de IA, incluyendo mecanismos de notificación a autoridades competentes y partes afectadas cuando proceda.
• Gestión de vulnerabilidades: Realizamos evaluaciones periódicas de vulnerabilidades, aplicamos actualizaciones de seguridad y parches de manera oportuna, y mantenemos un inventario actualizado de componentes de software y dependencias de nuestros sistemas de IA.
• Seguridad en relaciones con terceros: Evaluamos y gestionamos los riesgos de seguridad asociados con proveedores de servicios de IA, plataformas en la nube y otros terceros involucrados en el ciclo de vida de sistemas de IA, estableciendo requisitos contractuales apropiados y mecanismos de supervisión.

Reconocemos que el panorama de amenazas en inteligencia artificial evoluciona constantemente, especialmente con la emergencia de nuevas tecnologías y vectores de ataque. Por ello, mantenemos nuestros controles de seguridad actualizados conforme a las mejores prácticas internacionales, estándares de ciberseguridad y guías especializadas en seguridad de sistemas de IA.

11. Alineación con el Reglamento (UE) 2024/1689 de IA

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de IA), representa el primer marco jurídico integral sobre IA a nivel mundial. Este reglamento, aplicable desde el 2 de agosto de 2026 (con excepciones para prácticas prohibidas y modelos de uso general), establece un enfoque basado en riesgos para la regulación de sistemas de IA.

Nuestro Sistema de Gestión de IA según UNE-ISO/IEC 42001 facilita significativamente el cumplimiento del Reglamento de IA mediante:

• La clasificación sistemática de nuestros sistemas de IA conforme a los niveles de riesgo establecidos (inaceptable, alto, limitado y mínimo), implementando los controles y obligaciones correspondientes a cada categoría.
• El cumplimiento de requisitos específicos para sistemas de IA de alto riesgo, incluyendo sistemas de gestión de riesgos, gobernanza de datos, documentación técnica, registro, transparencia, supervisión humana, precisión, robustez y ciberseguridad.
• La realización de evaluaciones de conformidad y evaluaciones de impacto en derechos fundamentales cuando sean requeridas, documentando apropiadamente los procesos y resultados.
• El establecimiento de mecanismos de vigilancia poscomercialización, reporte de incidentes graves y cooperación con autoridades de vigilancia del mercado.
• La implementación de obligaciones de transparencia para sistemas de IA generativos y de uso general, incluyendo el marcado apropiado de contenido generado por IA.
• La adopción de prácticas de alfabetización en materia de IA para nuestro personal y partes interesadas, promoviendo la comprensión de beneficios, riesgos, salvaguardias y obligaciones relacionadas con el uso de sistemas de IA.

12. Contacto y Comunicación

Si tiene consultas, comentarios o inquietudes sobre nuestro compromiso con la norma UNE-ISO/IEC 42001, nuestro Sistema de Gestión de Inteligencia Artificial, o cualquier aspecto relacionado con nuestras prácticas de gestión responsable de IA, le invitamos a contactarnos:

Correo electrónico: gerencia@pymes-ai.com
Teléfono: +1 754 317 5213 o +57 322 672 4582

Valoramos el diálogo abierto y constructivo con todas nuestras partes interesadas. Nos comprometemos a responder sus consultas de manera transparente, oportuna y profesional.

Agradecemos su confianza en Pymes.ai y nuestro compromiso compartido con el desarrollo y uso responsable de la inteligencia artificial para el beneficio de la sociedad.